MSN 再爆病毒流行！ photo album.zip 檔案不要接收與開啟

ming · 發表於 2007-6-4 11:25

如果想睇到更多76師兄嘅分享，快啲登入成為會員啦！

您需要登入收看或下載更多內容。還未成為會員？成為會員

x

http://news.yam.com/ettoday/computer/200704/20070404098952.html

Get-messenger透過MSN傳送木馬網站讓大家餘悸猶存，MSN又傳出病毒騷擾，這次是透過名單中的朋友，自動傳送一個photo album.zip檔案，這是一個ircbot，根據卡巴斯基防毒軟體檢測，為
Backdoor.Win32.IRCBot.aaq，因此朋友傳送資料，一定要反覆確認。

首先，名單中的朋友會發出類似「Hey accept my photo album, Nice new pics of me
and my friends and stuff and when i was young lol...」文字訊息，之後又會自動傳出一個約21kb大小名為photo album的zip檔案，而zip檔案解開則是photo album2007.pif，執行之後，除
了將photo album.zip複製到windows之下的檔案夾之外，另外創造出一個rdshost.dll，放在System32檔案夾中，隨瀏覽器一起啟動，同時會修改登錄（registry）。

根據大陸網站C.I.S.R.T討論區提供的解決方案，首先在「開始」的「執行」中輸入regedit，打開登錄檔，刪除

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"

其中，{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID，病毒產生的這段CLSID不固定，例如：{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}。

之後重新啟動電腦，刪除C:\Windows\photo album.zip與C:\Windows\System32\rdshost.dll

小瑟 · 發表於 2007-6-4 11:41

嘩..真係要小心喎!!!!tks~~~~

大佬John · 發表於 2007-6-4 20:22

link pls:lol

黑冰 · 發表於 2007-8-5 20:13

我冇

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rdshost"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="rdshost.dll"

其中，{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}為一串CLSID，病毒產生的這段CLSID不固定，例如：{3CBAEB1E-422A-495D-A45F-5D9E10AACD4B}。

之後重新啟動電腦，刪除C:\Windows\photo album.zip

but i have this
C:\Windows\System32\rdshost.dll

即係????

黑冰 · 發表於 2007-8-5 20:14

AVG , norton can check?

MSN 再爆病毒流行！ photo album.zip 檔案不要接收與開啟

如果想睇到更多76師兄嘅分享，快啲登入成為會員啦！

76 榮譽超級版主勲章

76 榮譽貢獻勲章

76 榮譽鑽石勲章

76 榮譽忠義勲章

76 榮譽VIP勲章

76 精選榮譽會員勲章

十週年永遠榮譽會員勲章

76-FC 藍寶石勲章

76 榮譽慈善家勲章

76 榮譽有禮勲章

76-FC 黑鑽石勲章

三星玩樂勲章